7月14日、Ars Technicaが「Apple sues OpenAI after ex-engineer allegedly used bug to steal trade secrets」と題した記事を公開した。Appleを退職してOpenAIへ移籍した元エンジニアが、退職後も有効だった認証バグを悪用してAppleの機密ハードウェア資料を窃取したとして、AppleがOpenAIを相手取り提訴した事件だ。退職処理の技術的ミスが大手テック企業間の法的紛争に発展した今回のケースは、業界全体のオフボーディング管理に一石を投じるものである。
元エンジニアが「認証バグ」を発見、報告せず悪用
Chang Liu(劉)は、Appleで8年間にわたり「最も機密性の高い製品開発プログラム」に携わったエンジニアで、2026年1月にAppleを退職しOpenAIに移籍した。ところが翌2月9日、Liuは退職後も手元に残していたApple支給のラップトップを使っていたところ、認証バグの存在に気づく。このバグにより、すでに退職しているはずの彼がAppleの共有ネットワークフォルダに引き続きアクセスできる状態になっていた。
LiuはこのバグをすぐにAppleへ報告しなかった。それどころか、数週間にわたって断続的にアクセスを続け、未発表製品の詳細、エンジニアリングプレゼンテーション、技術仕様、プロプライエタリなプロジェクトデータを含む数十のハードウェア関連機密ファイルをダウンロードしたとAppleは主張している。
中でもAppleが特に問題視しているのは、Appleの複雑な回路基板に関するプレゼンテーション資料で、Appleはこれを「ハードウェアを開発する者にとって非常に価値の高い情報」と位置づけている。一部のファイルには「機密」と明示的にラベルが付いていたという。
「LOL、ネットワークストレージにアクセスできた」——社内チャットが証拠に
Liuが残した社内メッセージが、今回の訴訟の直接的な証拠となった。
「LOL、[ネットワークストレージ]にアクセスできることがわかった」
これはLiuが元Apple社員のYu-Ting "Alyssa" Pengに送ったメッセージの一つだ。Apple支給のラップトップ上には、Appleを揶揄するメッセージが多数残されていたとされる。Appleはこのやり取りを調査する過程でバグの存在を把握した。
バグ自体はAppleが発見後「迅速に修正」済みで、広く悪用された形跡はないとAppleは述べている。訴状の脚注には以下の記述がある。
「Appleは依然調査中だが、サーバーログによれば、このバグの影響を受けた他の少数のユーザーは、Liuとは異なり、Appleの機密情報にアクセスまたは窃取したようには見受けられない」
つまり、同じバグで影響を受けたユーザーはほかにも存在したが、意図的に悪用したのはLiu一人とみられている。
AppleはOpenAIをなぜ訴えているのか——「共謀」の法的構造
Appleは2026年7月10日(金)に訴状を提出し、OpenAIに対して複数の差し止め命令と損害賠償を求めている。
OpenAIが被告に含まれている理由は、Liuの単独行為にとどまらない点にある。訴状によれば、OpenAIはLiuら元Apple社員と共謀し、「違法なショートカット」を取ることでiPhoneに匹敵するマーケタブルなAIデバイスを立ち上げようとしたとAppleは主張している。すなわちAppleは、窃取された機密情報がOpenAIの製品開発に利用されたと見ており、知財を受け取った側の組織としてOpenAIにも責任があるという論理で訴訟を構成している。OpenAI側はこれに対して現時点で公式なコメントを出していない。
AIハードウェア開発競争が激化する中、Apple・OpenAIはそれぞれ独自AIデバイスの開発を巡り競合関係にあり、優秀なエンジニアの争奪戦も続いている。こうした業界構造が今回の訴訟の背景にある。
セキュリティの観点から——オフボーディング管理の盲点
セキュリティの観点からは、退職処理フロー(オフボーディング)におけるアクセス権管理の不備が根本的な問題として浮かび上がる。オフボーディングとは、退職者のシステムアクセス権・貸与端末・社内アカウントなどを適切に回収・無効化する一連の手続きを指す。
今回は認証バグという技術的な実装ミスが直接の原因だが、そもそも退職時のクレデンシャル無効化(認証情報の即時失効処理)が正常に機能していれば、バグが存在しても被害は発生しなかったという見方もできる。クレデンシャル無効化とは、退職者のIDトークン・セッション・SSO連携などを退職と同時に強制失効させる処理であり、多くのセキュリティフレームワークで必須対策として定められている。
退職者のアクセス権管理は、NIST SP 800-53などのセキュリティ標準でも重点項目として扱われており、今回の事件はその徹底の重要性を改めて示す事例となった。大手テック企業間の人材流動が激しくなる中、オフボーディング時のアクセス権即時失効は業界全体の課題である。
詳細はApple sues OpenAI after ex-engineer allegedly used bug to steal trade secretsを参照していただきたい。